Виды угроз и атак

Материал из ТХАБ.РФ
Версия от 17:09, 7 ноября 2016; Админ (обсуждение | вклад)

(разн.) ← Предыдущая | Текущая версия (разн.) | Следующая → (разн.)
Перейти к: навигация, поиск
Виды угроз и атак.


Вирусы и черви

  • Worms and Viruses - Подобные вредоносные программы обладают способностью к несанкционированному пользователем саморазмножению в компьютерах или компьютерных сетях, при этом полученные копии также обладают этой возможностью.
  • Worm - Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению в компьютерных сетях через сетевые ресурсы. В отличие от Net-Worm для активации Worm пользователю необходимо запустить его. Черви этого типа ищут в сети удаленные компьютеры и копируют себя в каталоги, открытые на чтение и запись (если таковые обнаружены). При этом черви данного типа перебирают доступные сетевые каталоги, используя функции операционной системы, и случайным образом ищут компьютеры в глобальной сети, подключаются к ним и пытаются открыть их диски на полный доступ. Также к данному типу червей относятся черви, которые по тем или иным причинам не обладают ни одним из других поведений (например, «мобильные» черви).
  • Email-Worm - Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по каналам электронной почты. В процессе размножения червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо сетевом ресурсе (например, URL на зараженный файл, расположенный на взломанном или хакерском веб-сайте).
  • IM-Worm - Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по каналам систем мгновенного обмена сообщениями (например, ICQ, MSN Messenger, AOL Instant Messenger, Yahoo Pager, Skype и др.). Для этих целей черви, как правило, рассылают на обнаруженные контакты (из контакт-листа) сообщения, содержащие URL на файл с телом червя, расположенный на каком-либо сетевом ресурсе. Данный прием практически полностью повторяет аналогичный способ рассылки, использующийся почтовыми червями.
  • IRC-Worm - Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению через Internet Relay Chats. У этого типа червей существует два способа распространения по IRC-каналам, напоминающие способы распространения почтовых червей. Первый способ заключается в отсылке URL на копию червя. Второй способ — отсылка зараженного файла какому-либо пользователю IRC-канала. При этом атакуемый пользователь должен подтвердить прием файла, затем сохранить его на диск и открыть (запустить на выполнение).
  • Net-Worm - Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению в компьютерных сетях. Отличительной особенностью данного типа червей является отсутствие необходимости в пользователе как в звене в цепочке распространения (т.е., непосредственно для активации вредоносной программы). Зачастую при распространении такой червь ищет в сети компьютеры, на которых используется программное обеспечение, содержащее критические уязвимости. Для заражения уязвимых компьютеров червь посылает специально сформированный сетевой пакет (эксплойт), в результате чего код (или часть кода) червя проникает на компьютер-жертву и активируется. Если сетевой пакет содержит только часть кода червя, то после проникновения в уязвимый компьютер он скачивает основной файл червя и запускает его на исполнение. Можно встретить сетевых червей данного типа, использующих сразу несколько эксплойтов для своего распространения, что увеличивает скорость нахождения ими компьютера-жертвы.
  • P2P-Worm - Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по каналам файлообменных пиринговых сетей (например, Kazaa, Grokster, eDonkey, FastTrack, Gnutella и др.). Механизм работы большинства подобных червей достаточно прост — для внедрения в P2P-сеть червю достаточно скопировать себя в каталог обмена файлами, который обычно расположен на локальной машине. Всю остальную работу по распространению вируса P2P-сеть берет на себя — при поиске файлов в сети она сообщит удаленным пользователям о данном файле и предоставит весь необходимый сервис для скачивания файла с зараженного компьютера. Существуют более сложные P2P-черви, которые имитируют сетевой протокол конкретной файлообменной системы и на поисковые запросы отвечают положительно — при этом червь предлагает для скачивания свою копию.
  • Virus - Вредоносная программа, обладающая способностью к несанкционированному пользователем саморазмножению по локальным ресурсам компьютера. В отличие от червей, вирусы не используют сетевых сервисов для своего распространения и проникновения на другие компьютеры. Копия вируса попадает на удалённые компьютеры только в том случае, если заражённый объект по каким-либо не зависящим от функционала вируса причинам оказывается активизированным на другом компьютере, например: при заражении доступных дисков вирус проник в файлы, расположенные на сетевом ресурсе; вирус скопировал себя на съёмный носитель или заразил файлы на нем; пользователь отослал электронное письмо с зараженным вложением.

Троянские программы

  • Trojan - Вредоносная программа, предназначенная для осуществления несанкционированных пользователем действий, влекущих уничтожение, блокирование, модификацию или копирование информации, нарушение работы компьютеров или компьютерных сетей, и при всём при этом не попадающая ни под одно из других троянских поведений. К Trojan также относятся «многоцелевые» троянские программы, т.е. программы, способные совершать сразу несколько несанкционированных пользователем действий, присущих одновременно нескольким другим поведениям троянских программ, что не позволяет однозначно отнести их к тому или иному поведению.
  • Trojan-ArcBomb - Эти троянцы представляют собой архивы, специально сформированные таким образом, чтобы вызывать нештатное поведение архиваторов при попытке разархивировать данные — зависание или существенное замедление работы компьютера или заполнение диска большим количеством «пустых» данных. Особенно опасны «архивные бомбы» для файловых и почтовых серверов, если на сервере используется какая-либо система автоматической обработки входящей информации — «архивная бомба» может просто остановить работу сервера.
  • Trojan-Banker - Вредоносная программа, предназначенная для кражи пользовательской информации, относящейся к банковским системам, системам электронных денег и пластиковых карт. Найденная информация передается злоумышленнику. Для передачи данных «хозяину» могут быть использованы электронная почта, FTP, HTTP (посредством указания данных в запросе) и другие способы.
  • Trojan-Clicker - Вредоносная программа, предназначенная для несанкционированного пользователем обращения к интернет-ресурсам (обычно, к веб-страницам). Достигается это либо посылкой соответствующих команд браузеру, либо заменой системных файлов, в которых указаны «стандартные» адреса интернет-ресурсов (например, файл hosts в MS Windows).
  • Trojan-DDoS - Вредоносная программа, предназначенная для проведения несанкционированной пользователем DoS- (Denial of Service) атаки с пораженного компьютера на компьютер-жертву по заранее определенному адресу. Суть атаки сводится к посылке жертве многочисленных запросов, что приводит к отказу в обслуживании, если ресурсы атакуемого удаленного компьютера недостаточны для обработки всех поступающих запросов.
  • Trojan-Downloader - Вредоносная программа, предназначенная для несанкционированной пользователем загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки троянцев или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются троянцем на автозагрузку в соответствии с возможностями операционной системы. Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно, с веб-страницы).
  • Trojan-Dropper - Вредоносная программа, предназначенная для несанкционированной пользователем скрытой инсталляции на компьютер-жертву вредоносных программ, содержащихся в теле этого типа троянцев. Данный тип вредоносных программ обычно без каких-либо сообщений (либо с ложными сообщениями об ошибке в архиве, неверной версии операционной системы и др.) сохраняют на диск жертвы (часто в каталог Windows, системный каталог Windows, временный каталог и т.д.) другие файлы и запускают их на выполнение.
  • Trojan-GameThief - Вредоносная программа, предназначенная для кражи пользовательской информации, относящейся к сетевым играм. Найденная информация передается злоумышленнику. Для передачи данных «хозяину» могут быть использованы электронная почта, FTP, HTTP (посредством указания данных в запросе) и другие способы.
  • Trojan-IM - Вредоносная программа, предназначенная для кражи пользовательских эккаунтов (логин и пароль) от интернет-пейджеров (например, ICQ, MSN Messenger, AOL Instant Messenger, Yahoo Pager, Skype и др.). Найденная на заражённом компьютере информация передается злоумышленнику. Для передачи данных «хозяину» могут быть использованы электронная почта, FTP, WWW (посредством указания данных в запросе) и другие способы.
  • Trojan-Notifier - Вредоносная программа, предназначенная для несанкционированного пользователем сообщения своему «хозяину» о том, что заражённый компьютер сейчас находится «на связи». При этом на адрес злоумышленника отправляется информация о компьютере, например, IP-адрес компьютера, номер открытого порта, адрес электронной почты и т.п. Отсылка осуществляется различными способами: электронным письмом, специально оформленным обращением к веб-странице злоумышленника, ICQ-сообщением.
  • Trojan-Proxy - Вредоносная программа, предназначенная для осуществления злоумышленником несанкционированного пользователем анонимного доступа к различным интернет-ресурсам через компьютер-жертву.
  • Trojan-Ransom - Вредоносная программа, предназначенная для несанкционированной пользователем модификации данных на компьютере-жертве таким образом, чтобы сделать невозможным работу с ними, либо блокировать нормальную работу компьютера. После того, как данные «взяты в заложники» (блокированы), пользователю выдвигается требование выкупа. Озвученную в требовании сумму жертва должна передать злоумышленнику, после чего злоумышленник обещает выслать программу для восстановления данных или нормальной работоспособности компьютера.
  • Trojan-SMS - Вредоносная программа, предназначенная для несанкционированной пользователем отсылки SMS-сообщений с пораженных мобильных устройств на дорогостоящие платные номера, которые «жестко» записаны в теле вредоносной программы.
  • Trojan-Spy - Вредоносная программа, предназначенная для ведение электронного шпионажа за пользователем (вводимая с клавиатуры информация, снимки экрана, список активных приложений и т.д.). Найденная информация передается злоумышленнику. Для передачи данных «хозяину» могут быть использованы электронная почта, FTP, HTTP (посредством указания данных в запросе) и другие способы.
  • Trojan-Mailfinder - Вредоносная программа, предназначенная для несанкционированного пользователем сбора адресов электронной почты на компьюте с последующей передачей их злоумышленнику через электронную почту, HTTP, FTP или другими способами. Украденные адреса используются злоумышленниками при проведении последующих рассылок вредоносных программ и спама.
  • Trojan-PSW - Вредоносная программа, предназначенная для кражи пользовательских аккаунтов (логин и пароль) с пораженных компьютеров. Название PSW произошло от Password-Stealing-Ware. При запуске PSW-троянцы ищут необходимую им информацию сиcтемных файлы, хранящие различную конфиденциальную информацию или реестре. В случае успешного поиска программа отсылает найденные данные «хозяину». Для передачи данных могут быть использованы электронная почта, FTP, HTTP (посредством указания данных в запросе) и другие способы. Некоторые троянцы данного типа воруют регистрационную информацию к различному программному обеспечению.
  • Backdoor - Вредоносная программа, предназначенная для скрытого удалённого управления злоумышленником пораженным компьютером. По своей функциональности бэкдоры во многом напоминают различные системы администрирования, разрабатываемые и распространяемые фирмами-производителями программных продуктов. Эти вредоносные программы позволяют делать с компьютером всё, что в них заложил автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т.д. Представители этого типа вредоносных программ очень часто используются для объединения компьютеров-жертв в так называемые «ботнеты», централизованно управляемые злоумышленниками в злонамеренных целях.
  • Rootkit - Программа, предназначенная для сокрытия в системе определенных объектов, либо активности. Сокрытию, как правило, подвергаются ключи реестра (например, отвечающие за автозапуск вредоносных объектов), файлы, процессы в памяти зараженного компьютера, вредоносная сетевая активность. Сам по себе Rootkit ничего вредоносного не делает, но данный тип программ в подавляющем большинстве случаев используется вредоносными программами для увеличения собственного времени жизни в пораженных систему в силу затрудненного обнаружения.


Вредоносные утилиты

  • Вредоносные утилиты - Вредоносные программы, разработанные для автоматизации создания других вирусов, червей или троянских программ, организации DoS-атак на удаленные сервера, взлома других компьютеров и т.п. В отличие от вирусов, червей и троянских программ, представители данной категории не представляют угрозы непосредствено компьютеру, на котором исполняются.
  • Constructor - Программы, предназначенные для изготовления новых компьютерных вирусов, червей и троянских программ. Известны конструкторы вредоносных программ для DOS, Windows и макро-платформ. Подобные программы позволяют генерировать исходные тексты вредоносных программ, объектные модули и непосредственно зараженные файлы. Некоторые конструкторы снабжены стандартным оконным интерфейсом, где при помощи системы меню можно выбрать тип вредоносной программы, наличие или отсутствие самошифровки, противодействие отладчику и т.п.
  • DoS - Программа, предназначенная для проведения DoS-атаки (Denial of Service) с ведома пользователя на компьютер-жертву. Суть атаки сводится к посылке жертве многочисленных запросов, что приводит к отказу в обслуживании, если ресурсы атакуемого удаленного компьютера недостаточны для обработки всех поступающих запросов.
  • Email-Flooder - Программы, функцией которых является «забивания мусором» (бесполезными сообщениями) каналов электронной почты. Данные программы могут использоваться спамерами.
  • IM-Flooder - Программы, функцией которых является «забивания мусором» (бесполезными сообщениями) каналов интернет-пейджеров (например, ICQ, MSN Messenger, AOL Instant Messenger, Yahoo Pager, Skype и др.). Данные программы могут использоваться спамерами.
  • SMS-Flooder - Программы, функцией которых является «забивания мусором» (бесполезными сообщениями) каналов передачи SMS-сообщений. Данные программы могут использоваться спамерами.
  • Flooder - Программы, функцией которых является «забивания мусором» (бесполезными сообщениями) сетевых каналов, отличных от почтовых, интернет-пейджеров и SMS (например, IRC). Программы, «забивающие» каналы почтовых служб, интернет-пейджеров и SMS-каналы, относятся соответственно к Email-Flooder, IM-Flooder и SMS-Flooder. Данные программы могут использоваться спамерами.
  • HackTool - Программа, используемая злоумышленниками при организации атак на локальный или удаленный компьютер (например, несанкционированное пользователем внесение нелегального пользователя в список разрешенных посетителей системы; очистка системных журналов с целью сокрытия следов присутствия в системе; снифферы с выраженным вредоносным функционалом и т.д.).
  • Hoax - Программы, которые не причиняют компьютеру какого-либо прямого вреда, однако выводят сообщения о том, что такой вред уже причинен, либо будет причинен при каких-либо условиях, либо предупреждают пользователя о несуществующей опасности. К «злым шуткам» относятся, например, программы, которые «пугают» пользователя сообщениями о форматировании диска (хотя никакого форматирования на самом деле не происходит), выводят странные вирусоподобные сообщения и т.д. — в зависимости от «чувства юмора» автора такой программы.
  • Exploit - Программы, в которых содержатся данные или исполняемый код, позволяющие использовать одну или несколько уязвимостей в программном обеспечении на локальном или удаленном компьютере с заведомо вредоносной целью. Обычно эксплойты используются злоумышленниками для проникновения на компьютер-жертву с целью последующего внедрения туда вредоносного кода (например, заражение всех посетителей взломанного веб-сайта вредоносной программой). Также эксплойты интенсивно используются программами типа Net-Worm для проникновения на компьютер-жертву без участия пользователя. Широко известны также так называемые программы-Nuker'ы, которые отправляют на локальный или удаленный компьютер специальным образом сформированные запросы, в результате чего система прекращает свою работу.
  • Spoofer - Программы, позволяющие отправлять сообщения и сетевые запросы с поддельным адресом отправителя. Программы данного типа могут быть использованы с различными целями (например, затруднить обнаружение отправителя или выдать сообщение за сообщение, отправленное оригиналом).
  • VirTool - Программы, позволяющие злоумышленнику модифицировать другие вредоносные программы таким образом, чтобы они не детектировались антивирусным программным обеспечением.

Потенциально нежелательные программы

  • Adware — рекламное программное обеспечение, предназначенное для показа рекламных сообщений (чаще всего, в виде графических баннеров); перенаправления поисковых запросов на рекламные веб-страницы; а также для сбора данных маркетингового характера об активности пользователя (например, какие тематические сайты посещает пользователь), позволяющих сделать рекламу более таргетированной. За исключением показов рекламы, подобные программы, как правило, никак не проявляют своего присутствия в системе — отсутствует значок в системном трее, нет упоминаний об установленных файлах в меню программ. Часто у Adware-программ нет процедур деинсталляции, используются пограничные с вирусными технологии, позволяющие скрытно внедряться на компьютер пользователя и незаметно осуществлять на нём свою деятельность.
  • Pornware — программы, которые так или иначе связаны с показом пользователю информации порнографического характера.
  • Porn-Dialer - Программы, дозванивающиеся до порнографических телефонных служб, параметры которых сохранены в теле этих программ. Отличие от вредоносных скрытых программ дозвона состоит в том, что пользователь уведомляется программой о совершаемых ею действиях.
  • Porn-Downloader - Программы, выполняющие загрузку из сети на компьютер пользователя данных порнографического характера. Отличие от вредоносных программ загрузки состоит в том, что пользователь уведомляется программой о совершаемых ею действиях.
  • Porn-Tool - Программы, так или иначе связанные с поиском и показом порнографических материалов (например, специальные панели инструментов для интернет-браузера и особые видеоплееры).
  • Riskware — к этой категории относятся обычные программы (некоторые из них свободно продаются и широко используются в легальных целях), которые, тем не менее, в руках злоумышленника способны причинить вред пользователю (вызвать уничтожение, блокирование, модификацию или копирование информации, нарушить работу компьютеров или компьютерных сетей).
  • Client-IRC - Программы, используемые для общения в Internet Relay Chats. Вредоносными не являются. Детектирование добавлено по причине частого использования злоумышленниками расширенного функционала этих программ — с завидной периодичностью обнаруживаются вредоносные программы, устанавливающие Client-IRC на пользовательские компьютеры со злонамеренными целями.
  • Client-P2P - Программы, используемые для работы в peer-to-peer сетях. Вредоносными не являются. Детектирование добавлено по просьбам пользователей, т.к. ряд программ подобного рода стал причиной утечки конфиденциальной информации.
  • Client-SMTP - Программы, используемые для отправки электронной почты и имеющие скрытый режим работы. Вредоносными не являются. Эти программы могут включаться злоумышленниками в состав пакета вредоносных программ для рассылки спама или иного вредоносного контента с компьютеров пользователей.
  • Dialer - Программы, позволяющие устанавливать в скрытом режиме телефонные соединения через модем. Вредоносными не являются.
  • Downloader - Программы, позволяющие осуществлять в скрытом режиме загрузку различного контента с сетевых ресурсов. Вредоносными не являются. Подобные программы могут использоваться злоумышленниками для загрузки вредоносного контента на компьютер-жертву.
  • FraudTool - Программы, которые выдают себя за другие программы, хотя таковыми не являются. Часто предлагают пользователю перечислить финансовые средства на определенные счета для оплаты «услуг».
  • Monitor - Программы, содержащие функции наблюдения за активностью на компьютере пользователя (активные процессы, сетевая активность и т.д.). Вредоносными не являются. В этих же целях могут быть использованы злоумышленниками.
  • NetTool - Программы, обладающие различной сетевой функциональностью (например, удаленная перезагрузка компьютера, сканирование открытых сетевых портов, удаленный запуск произвольных приложений и т.д.), позволяющей использование их киберпреступниками со злонамеренными целями. Вредоносными не являются.
  • PSWTool - Программы, позволяющие просматривать или восстанавливать забытые (часто — скрытые) пароли. С таким же успехом в подобных целях данный тип программ может быть использован злоумышленниками. Вредоносными не являются.
  • RemoteAdmin - Программы, используемые для удаленного управления компьютером. Вредоносными не являются. Будучи установленными злоумышленником дают ему возможность полного контроля над компьютером-жертвой.
  • RiskTool - Программы, обладающие различной функциональностью (например, сокрытие файлов в системе, сокрытие окон запущенных приложений, уничтожение активных процессов и т.д.), позволяющей использование их киберпреступниками со злонамеренными целями. Вредоносными не являются.
  • Server-FTP - Программы, содержащие функциональность FTP-сервера. По этой причине включаются злоумышленниками в пакеты вредоносных программ, например, для организации удаленного доступа к компьютеру-жертве, где установлена эта программа. Вредоносными не являются.
  • Server-Proxy - Программы, содержащие функциональность proxy-сервера. По этой причине включаются злоумышленниками в пакеты вредоносных программ, например, для рассылки спама или иного вредоносного контента от имени компьютера-жертвы. Вредоносными не являются.
  • Server-Telnet - Программы, содержащие функциональность telnet-сервера. По этой причине включаются злоумышленниками в пакеты вредоносных программ, например, для организации удаленного доступа к компьютеру-жертве, где установлена эта программа. Вредоносными не являются.
  • Server-Web - Программы, содержащие функциональность веб-сервера. По этой причине включаются злоумышленниками в пакеты вредоносных программ, например, для организации удаленного доступа к компьютеру-жертве, где установлена эта программа. Вредоносными не являются.
  • WebToolbar - Программы, которые с разрешения пользователя расширяют возможности пользовательского программного обеспечения путём установки панелей инструментов, позволяющих использовать одну или несколько поисковых систем при работе в интернете. Вредоносными не являются. Детектирование добавлено по причине частого распространения подобных панелей с помощью различных вредоносных программ в виде вложенных в них файлов.


Баннеры, спам, фишинг

  • Баннер - один из преобладающих форматов интернет-рекламы, представляет собой графическое изображение, аналогичное рекламному модулю в прессе. Их полно, они есть почти на каждой веб-странице. Но самое болезненное в том, что баннеры могут быть заражены вредоносным кодом. Многие из Вас знают и помнят о нашествии Trojan-Winlock - вирусов, которые при активации своего вредоносного кода на ПК пользователя запускали на Рабочий стол окошко с требованием отправить смс чтобы разблокировать работу системы. Такие вирусы система может подцепить после того, как пользователь пройдет по такому зараженному баннеру на своем веб-браузере. Зараженные баннеры часто "предлагают" то, на что ведутся многие пользователи - "вечную работу Касперского", "взлом аккаунта Вконтакте" и похожие "услуги".
  • Cпам — это анонимная массовая рассылка. Анонимная: все страдают, в основном, именно от автоматических рассылок со скрытым или фальсифицированным обратным адресом. Массовая: эти рассылки именно массовые, и только они являются настоящим бизнесом для спаммеров и настоящей проблемой для пользователей.
  • Фишинг - вид интернет-мошенничества, цель которого - получить идентификационные данные пользователей. Сюда относятся кражи паролей, номеров кредитных карт, банковских счетов и другой конфиденциальной информации. Фишинг представляет собой пришедшие на почту поддельные уведомления от банков, провайдеров, платежных систем и других организаций о том, что по какой-либо причине получателю срочно нужно передать / обновить личные данные. Причины могут называться различные. Это может быть утеря данных, поломка в системе и прочее. Фишинговые сайты, как правило, живут недолго (в среднем - 5 дней). Так как анти-фишинговые фильтры довольно быстро получают информацию о новых угрозах, фишерам приходится регистрировать все новые и новые сайты. Внешний же вид их остается неизменен - он совпадает с официальным сайтом, под который пытаются подделать свой сайт мошенники. Наиболее частые жертвы фишинга — банки, электронные платежные системы, аукционы. То есть мошенников интересуют те персональные данные, которые дают доступ к деньгам. Но не только. Также популярна кража личных данных от электронной почты — эти данные могут пригодиться тем, кто рассылает вирусы или создает зомби-сети. Так же частые жертвы фишинга - пользователи "социальных сетей" - Вконтакте, Одноклассники, Twitter, Facebook, LiveJornal (ЖЖ).


См. также Ложные антивирусы


Вернуться.

Ссылки

Dracula87